Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Chiavi di crittografia gestite dal cliente (CMEK)

Per impostazione predefinita, Gemini Enterprise Agent Platform Workbench cripta i contenuti inattivi dei clienti. Agent Platform Workbench gestisce la crittografia per tuo conto senza che tu debba fare altro. Questa opzione è denominata crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, tra cui Agent Platform Workbench. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi inoltre monitorare l'utilizzo delle chiavi, visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.

Dopo aver configurato le risorse con le CMEK, l'esperienza di accesso alle risorse di Agent Platform Workbench è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, vedi Chiavi di crittografia gestite dal cliente (CMEK).

Questa pagina descrive alcuni vantaggi e limitazioni specifici dell'utilizzo di CMEK con Agent Platform Workbench di Gemini Enterprise e mostra come configurare una nuova istanza di Agent Platform Workbench per utilizzare CMEK.

Per saperne di più su come utilizzare CMEK per Gemini Enterprise Agent Platform, consulta la pagina CMEK di Agent Platform.

Vantaggi di CMEK

In generale, CMEK è più utile se hai bisogno del pieno controllo delle chiavi utilizzate per criptare i tuoi dati. Con CMEK, puoi gestire le chiavi in Cloud Key Management Service. Ad esempio, puoi ruotare o disattivare una chiave oppure configurare una pianificazione di rotazione utilizzando l'API Cloud KMS.

Quando esegui un'istanza di Agent Platform Workbench, l'istanza viene eseguita su una macchina virtuale (VM) gestita da Gemini Enterprise Agent Platform Workbench. Quando abiliti CMEK per un'istanza di Agent Platform Workbench, Agent Platform Workbench utilizza la chiave che specifichi, anziché una chiave gestita da Google, per criptare i dati sui dischi di avvio della VM.

La chiave CMEK non cripta i metadati, come il nome e la regione dell'istanza, associati all'istanza di Agent Platform Workbench. I metadati associati alle istanze di Agent Platform Workbench vengono sempre criptati utilizzando il meccanismo di crittografia predefinito di Google.

Limitazioni di CMEK

Per ridurre la latenza e prevenire i casi in cui le risorse dipendono da servizi distribuiti su più domini di errore, Google consiglia di proteggere le istanze regionali di Agent Platform Workbench con chiavi nella stessa località.

Puoi criptare le istanze regionali di Agent Platform Workbench utilizzando chiavi nella stessa località o nella località globale. Ad esempio, puoi criptare i dati in un disco nella zona us-west1-a utilizzando una chiave in us-west1 o global.
Puoi criptare le istanze globali utilizzando le chiavi in qualsiasi località.
La configurazione di CMEK per Agent Platform Workbench non configura automaticamente CMEK per altri prodotti Google Cloud che utilizzi. Per utilizzare CMEK per criptare i dati in altri prodotti Google Cloud , devi completare una configurazione aggiuntiva.

Configura CMEK per l'istanza di Agent Platform Workbench

Le sezioni seguenti descrivono come creare un portachiavi e una chiave in Cloud Key Management Service, concedere all'account di servizio le autorizzazioni di crittografia e decrittografia per la chiave e creare un'istanza di Agent Platform Workbench che utilizza CMEK.

Prima di iniziare

Ti consigliamo di utilizzare una configurazione che supporti la separazione dei compiti. Per configurare CMEK per Agent Platform Workbench, puoi utilizzare due progetti Google Cloud separati:

Un progetto Cloud KMS: un progetto per la gestione della chiave di crittografia
Un progetto Agent Platform Workbench: un progetto per accedere alle istanze di Agent Platform Workbench e interagire con altri prodotti Google Cloud necessari per il tuo caso d'uso

In alternativa, puoi utilizzare un singolo progetto Google Cloud . A tal fine, utilizza lo stesso progetto per tutte le seguenti attività.

Configura il progetto Cloud KMS

Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Cloud KMS API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Cloud KMS API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Configura il progetto Agent Platform Workbench

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Configura Google Cloud CLI

Gcloud CLI è obbligatoria per alcuni passaggi di questa pagina e facoltativa per altri.

Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente:

gcloud init

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Crea una chiave automatizzata e una chiave

Quando crei una chiave automatizzata e una chiave, tieni presente i seguenti requisiti:

Quando scegli la posizione del keyring, utilizza global o la posizione in cui si troverà l'istanza di Agent Platform Workbench.
Assicurati di creare il keyring e la chiave nel tuo progetto Cloud KMS.

Per creare un portachiavi e una chiave, consulta Creare chiavi di crittografia simmetriche.

Concedi le autorizzazioni di Agent Platform Workbench

Per utilizzare CMEK per l'istanza di Agent Platform Workbench, devi concedere all'istanza di Agent Platform Workbench l'autorizzazione per criptare e decriptare i dati utilizzando la tua chiave. Concedi questa autorizzazione all'agente di servizio del tuo progetto e all'account di servizio Compute Engine.

Per trovare gli account specifici per il tuo progetto Agent Platform Workbench, utilizza la console Google Cloud .

Nella console Google Cloud vai alla pagina IAM.

Vai a IAM
Seleziona Includi concessioni di ruoli fornite da Google.
Trova i membri che corrispondono ai seguenti formati di indirizzo email. Prendi nota degli indirizzi email e utilizzali nei passaggi successivi.
- L'indirizzo email del service agent del tuo progetto ha il seguente aspetto:
```
service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com
```
- L'indirizzo email del account di servizio Compute Engine ha il seguente aspetto:
```
service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
```
Sostituisci NOTEBOOKS_PROJECT_NUMBER con il numero di progetto del tuo progetto Agent Platform Workbench.

Per concedere a questi account l'autorizzazione a criptare e decriptare i dati utilizzando la tua chiave, puoi utilizzare la console Google Cloud o gcloud CLI.
Console
1. Nella console Google Cloud , vai alla pagina Gestione chiavi.
  
  Vai a Gestione delle chiavi
2. Seleziona il tuo progetto Cloud KMS.
3. Fai clic sul nome del keyring che hai creato in Creare chiavi automatizzate e una chiave. Viene visualizzata la pagina Dettagli portachiavi.
4. Seleziona la casella di controllo per la chiave che hai creato in Crea chiavi automatizzate e una chiave. Se un riquadro informazioni con il nome della chiave non è già aperto, fai clic su Mostra riquadro informazioni.
5. Nel riquadro informazioni, fai clic su Aggiungi membro. Si apre la finestra di dialogo Aggiungi membri a "KEY_NAME". In questa finestra di dialogo, procedi nel seguente modo:
  
  Nel campo Nuovi membri, inserisci l'indirizzo email del service agent del tuo progetto:
  
  service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com
  
  Nell'elenco Seleziona un ruolo, fai clic su Cloud KMS e poi seleziona il ruolo Cloud KMS CryptoKey Encrypter/Decrypter.
  
  Fai clic su Salva.
6. Ripeti questi passaggi per l'agente di servizio Compute Engine:
  
  service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
gcloud
1. Per concedere all'agente di servizio del progetto l'autorizzazione a criptare e decriptare i dati utilizzando la chiave, esegui il seguente comando:
  
  gcloud kms keys add-iam-policy-binding KEY_NAME \ --keyring=KEY_RING_NAME \ --location=REGION \ --project=KMS_PROJECT_ID \ --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
  
  Sostituisci quanto segue:
  
  KEY_NAME: il nome della chiave che hai creato in Crea chiavi automatizzate e chiave
  
  KEY_RING_NAME: le chiavi automatizzate che hai creato in Crea chiavi automatizzate e chiave
  
  REGION: la regione in cui hai creato il portachiavi
  
  KMS_PROJECT_ID: l'ID del tuo progetto Cloud KMS
  
  NOTEBOOKS_PROJECT_NUMBER: il numero di progetto del tuo progetto Agent Platform Workbench, che hai annotato nella sezione precedente come parte di un indirizzo email dell'account di servizio.
2. Per concedere al account di servizio Compute Engine l'autorizzazione a criptare e decriptare i dati utilizzando la tua chiave, esegui questo comando:
  
  gcloud kms keys add-iam-policy-binding KEY_NAME \ --keyring=KEY_RING_NAME \ --location=REGION \ --project=KMS_PROJECT_ID \ --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Crea un'istanza di Agent Platform Workbench con CMEK

Dopo aver concesso all'istanza di Agent Platform Workbench l'autorizzazione a criptare e decriptare i dati utilizzando la tua chiave, puoi creare un'istanza di Agent Platform Workbench che cripta i dati utilizzando questa chiave.

L'esempio seguente mostra come criptare e decriptare i dati utilizzando la chiave tramite la console Google Cloud .

Per creare un'istanza di Agent Platform Workbench con una chiave di crittografia gestita dal cliente, puoi utilizzare la console Google Cloud o gcloud CLI:

Console

Nella console Google Cloud , vai alla pagina Istanze.

Vai a Istanze
Fai clic su Crea nuovo.
Nella finestra di dialogo Nuova istanza, fai clic su Opzioni avanzate.
Nella finestra di dialogo Crea istanza, nella sezione Dettagli, fornisci le seguenti informazioni per la nuova istanza:
- Nome: un nome per la nuova istanza
- Regione: la regione in cui si trovano la chiave e le chiavi automatizzate
- Zona: una zona all'interno della regione selezionata
Nella sezione Dischi, in Crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK).
Fai clic su Seleziona una chiave gestita dal cliente.
- Se la chiave gestita dal cliente che vuoi utilizzare è presente nell'elenco, selezionala.
- Se la chiave gestita dal cliente che vuoi utilizzare non è presente nell'elenco, inserisci l'ID risorsa per la chiave gestita dal cliente. L'ID risorsa per la chiave gestita dal cliente è simile al seguente:
```
projects/NOTEBOOKS_PROJECT_NUMBER/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
```
  Sostituisci quanto segue:
  - NOTEBOOKS_PROJECT_NUMBER: l'ID del tuo progetto Agent Platform Workbench
  - REGION: la regione in cui hai creato il portachiavi e in cui prevedi di creare l'istanza Agent Platform Workbench
  - KEY_RING_NAME: le chiavi automatizzate che hai creato in Crea chiavi automatizzate e chiave
  - KEY_NAME: il nome della chiave che hai creato in Crea chiavi automatizzate e chiave
Completa il resto della finestra di dialogo di creazione dell'istanza e poi fai clic su Crea.

gcloud

Per utilizzare gcloud CLI per creare un'istanza di Agent Platform Workbench con una chiave di crittografia gestita dal cliente, esegui il seguente comando. Questo esempio presuppone che tu voglia creare un'istanza Agent Platform Workbench con un tipo di macchina n1-standard-1 e un disco di avvio permanente standard da 100 GB.

gcloud notebooks instances create notebook-vm-cmek \
    --location=REGION \
    --vm-image-family=IMAGE_FAMILY \
    --vm-image-project=cloud-notebooks-managed \
    --machine-type="n1-standard-1" \
    --boot-disk-type="PD_STANDARD" \
    --boot-disk-size=100 \
    --kms-key=KEY_NAME \
    --kms-project=KMS_PROJECT_ID \
    --kms-location=REGION \
    --kms-keyring=KEY_RING_NAME \
    --disk-encryption=CMEK \
    --metadata='proxy-mode=project_editors'

Sostituisci quanto segue:

REGION: la regione in cui hai creato il portachiavi e in cui prevedi di creare l'istanza di Agent Platform Workbench
IMAGE_FAMILY: la famiglia di immagini che vuoi utilizzare per creare l'istanza di Agent Platform Workbench
KEY_NAME: il nome della chiave che hai creato in Crea chiavi automatizzate e chiave
KMS_PROJECT_ID: l'ID del tuo progetto Cloud KMS
KEY_RING_NAME: le chiavi automatizzate che hai creato in Crea chiavi automatizzate e chiave

Passaggi successivi

Scopri di più su CMEK su Google Cloud.
Scopri come utilizzare CMEK con altri Google Cloud prodotti.